日本IBMは8月25日、「2021年データ侵害のコストに関するセキュリティー調査レポート」を発表した。米IBMが7月に発表した「Cost of a Data Breach Report 2021」の翻訳版で、8月25日の報道関係者向け説明会では、「Cost of a Data Breach Report 2021」では言及のない、日本におけるデータ侵害状況の説明などもあった。
本記事は、本サイトで8月13日に公開した「Cost of a Data Breach Report 2021」のレポート記事への追記で、日本IBMから説明のあった、日本におけるデータ侵害の状況などを紹介する。8月13日公開の記事は、本稿の後段にそのまま採録した。
8月25日の報道関係者向け説明会の冒頭で、日本IBMの小川真毅氏(セキュリティー事業本部 本部長)は、最近のセキュリティ状況について次のように語った。
「企業がDXへ向けて活動を進めるなかで、これまでにあったセキュリティの課題がより顕著になり、新しい課題も次々に登場している。たとえば、ハイブリッドクラウド/マルチクラウドがスタンダードになるにつれて、企業のインフラの境界が見えづらくなり、セキュリティ対策としてここだけを守っておけば大丈夫ということがなくなった。そのなかで、サイバー攻撃が複雑・巧妙化し、インシデントが絶え間なく発生している。企業にとっては、それらの攻撃をどう防ぐか、そのためのコストをどう低減させるかが課題。技術面、サプライチェーン、人材スキルなど多方面でセキュリティの課題が浮上している」
日本におけるデータ侵害状況
今回の「2021年データ侵害のコストに関するセキュリティー調査レポート」では、世界17カ国(地域)の537件のデータ侵害事案を調査した。このなかには、36件の日本の事案も含まれているという。
その日本における平均の侵害レコード件数は2万9822件、レコード1件あたりの平均侵害コストは1万7400円、平均のコスト総額は5億1000万円。日本における総コストの平均はグローバルの平均(424万ドル)よりも多く、対前年比13%増という伸び率もグローバル平均(10%)より高いという結果だった。
「悪意のあるインサイダー」によるデータ侵害が静かに増加
日本IBMの徳田敏文氏(セキュリティー事業本部 X-Force日本責任者)は、「日本におけるデータ侵害の発端となる初期ベクトルの種類・傾向はグローバルとほぼ同様だが、日本においては『悪意のあるインサイダー』による事案が静かに拡大している。日本IBMが対応するインシデントのなかでも、件数・割合が増えている」と話し、次のように警鐘を鳴らす。
「『悪意のあるインサイダー』には従業員や退職した元・社員などが含まれるが、そうした内部犯行者によって高レベルの知的財産などを狙われると、被害は計り知れない額になる。日本のセキュリティ担当者は、『悪意のあるインサイダー』に対して、これまでに以上に注意を向け、対策を講じるべき時期にきている」
データ侵害の影響を最小化するための6つのアクション
日本IBMがデータ侵害の影響を最小化するためのアクションとして推奨するのは、次の6項目である。
・インシデント対応を計画、テストし、サイバー・レジリエンスを高める
・セキュリティとIT環境を見直して、複雑さを最小限に抑える
・クラウドとリモートワーカーを保護・監視する
・ガバナンスリスク管理コンプライアンスに投資する
・SOAR (Security Orchestration、Automation and Response)を導入し、セキュリティ自動化を促進する
・ゼロトラスト・セキュリティモデルを採用し、不正アクセス防止を強化する
(以上、2021年8月26日追記)
(以下は、8月13日に公開した記事。図表は、8月25日発表の「2021年データ侵害のコストに関するセキュリティー調査レポート」より、日本語化された図表に差し替えた)
IBMは7月28日(現地時間)、「2021年データ侵害のコストに関するセキュリティー調査レポート」(原題:Cost of a Data Breach Report 2021)を発表した。
この調査は、調査会社Ponemon Instituteが実施した調査をIBMが分析したもの。今回は、17の国・地域、17の業界の537件のデータ侵害を対象に、約3500件のインタビューを行い、レポートとしてまとめた。
サイバー攻撃が大規模かつ巧妙化し、そのうえに企業のクラウド移行やコロナ禍によるリモートワークへの移行などが重なり、データ漏洩は深刻さを増しつつあることが映し出されている。注目される調査結果を紹介してみよう。
データ侵害の平均総コストは対前年比9.8%増
2021年のデータ侵害の平均総コストは、対前年比9.8%増の424万ドルとなり(2020年は386万ドル)、過去7年間で最大の増加幅となった。2015年との対比では11.9%の増加である。
データ1件あたりの侵害コストは、10.3%増の161ドル
データ侵害の1件あたりの平均コストは、対前年比10.3%増の161ドル(2020年は146ドル)。2017年の平均141ドルから14.2%の増加である。ssい
地域別の平均総コストは、米国が11年連続のトップ、日本は5位
データ侵害の平均総コストを地域別で見ると、米国が11年連続のトップ。上位5カ国・地域は、米国(905万ドル)、中東(693万ドル)、カナダ(540万ドル)、ドイツ(489万ドル)、日本(469万ドル)の順である。
2020年から2021年にかけて、平均総コストの増加幅が大きかった国・地域の上位5カ国・地域は、中南米(52.4%増)、南アフリカ(50.0%増)、オーストラリア(30.2%増)、カナダ(20.0%増)、英国(19.7%増)だった。
産業別は、ヘルスケア、金融、製薬、テクノロジーの順
データ漏洩の平均総コストを産業別で見ると、トップはヘルスケア(923万ドル)で、以下、金融(572万ドル)、製薬(504万ドル)、テクノロジー(488万ドル)、エネルギー(465万ドル)の順である。ヘルスケアは、対前年比で29.5%増加した。
「事業損失」が38%、「検知とエスカレーション」29%
データ侵害のコスト(424万ドル)のうち最大の割合を占めたのは「事業損失」(38%)で、平均総コストは159万ドル。この「事業損失」には、システムダウンによる事業の中断と収益損失、顧客喪失、新規顧客の獲得コスト、評判の低下・信用低下が含まれる。2位は「検知とエスカレーション」で29%、124万ドル、3位は「データ侵害後の対応」で27%、114万ドルだった。
データ侵害の種別では、「顧客の個人識別情報」が半数弱でトップ
侵害(紛失・盗難)されたデータの種別では、「顧客の個人識別情報」が44%でダントツの1位、2位は「匿名化された顧客情報」、3位「知的財産」の順である。
1件あたりのコストは、「顧客の個人識別情報」「従業員の個人識別情報」の順
侵害(紛失・盗難)されたデータの種別では、「顧客の個人識別情報」(1件あたり180ドル)がトップで、以下、「従業員の個人識別情報」(176ドル)、「知的財産」(169ドル)、「その他重要データ」(165ドル)の順である。
データ侵害の初期要因は「認証情報の侵害」「フィッシング」「クラウドの設定ミス」がトップ3
データ漏洩の引き金となった初期の要因(初期攻撃ベクトル)としては、偶発的なデータ損失、クラウドの設定ミス、フィッシング、内部情報侵害、認証情報の紛失・盗難(漏洩)など10種類に分類し調査した。
データ侵害の総件数に占める要因の順位は、以下のとおりである(%は割合、平均総コスト)。
1位 認証情報の漏洩(20%、437万ドル)
2位 フィッシング(17%、465万ドル)
3位 クラウドの設定ミス(15%、386万ドル)
4位 サードパーティ製ソフトの脆弱性(14%、433万ドル)
5位 物理的セキュリティの侵害(9%、354万ドル)
6位 内部犯行(8%、461万ドル)
7位 ミスによるデータ漏洩/デバイス紛失(6%、411万ドル)
8位 システムエラー(5%、334万ドル)
9位 ビジネスメールの漏洩(4%、501万ドル)
10位 ソーシャル・エンジニアリング(2%、447万ドル)
侵害から解決まで平均287日、前年より7日延びる
データ侵害の発見から解決までの平均日数は、2020年よりも7日延びて287日となった。1月1日に侵害が発生した場合、10月14日に解決することになる。2017年を“底”に侵害が巧妙化していることがうかがえる。
「認証情報の侵害」が解決まで最も時間がかかる、2位は「ビジネスメールの侵害」
漏洩した情報別の解決日数は、以下のとおりである(カッコ内は日数)。
1位 認証情報の侵害(341日)
2位 ビジネスメールの侵害(317日)
3位 内部犯行(306日)
4位 フィッシング(293日)
5位 物理的セキュリティの侵害(292日)
6位 ソーシャル・エンジニアリング(290日)
7位 サードパーティ製ソフトの脆弱性(286日)
8位 ミスによるデータ漏洩/デバイス紛失(271日)
9位 クラウドの設定ミス(251日)
10位 その他の技術的設定ミス(223日)
ゼロデイ・トラストへの「対応済み」は約1/3、「対応予定なし」は約半数
ゼロデイ・トラストへの対応状況は、「開発済み」が20%、「部分的に開発済み」が15%で、対応済みは全体の1/3にとどまった。「1年以内に対応予定」が22%で、「予定なし」は44%と、半数近くに上った。
クラウドへの大規模移行企業は、平均総コストも大規模
クラウドへの移行が大規模な企業と小規模な企業を対比すると、大規模な移行を実施した企業の平均総コストは512万ドルであるのに対して、小規模な移行を実施した企業は346万ドルと、166万ドル(38.7%)の差があった。
リモートワークはデータ侵害コストを増大させる
新型コロナによりリモートワークへの移行が進んだが、リモートワークがデータ侵害の要因となった場合の平均総コストは、リモートワークが要因ではない場合と比較して、100万ドル以上、コスト高となった。リモートワークがデータ侵害の要因となった場合は496万ドル、要因でない場合は389万ドルである。
また、従業員のリモートワークの割合別で見ると、61%以上で平均総コストが増加することがわかった。リモートワーク率81~100%の企業では554万ドルになる。
リモートワーク比率50%以上の企業は、データ侵害の解決まで平均316日
リモートワークの導入率が50%を超える企業では、データ漏洩の発見まで平均235日、解決まで平均81日かかり、平均よりも長くかかることがわかった。
